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PROCEDE DE DISTRIBUTION DE DONNEES ET/OU SERVICES 

EMBROUILLES 

DESCRIPTION 

DOMAINS TECHNIQUE 

1/ invention se situe dans le domaine de la 
distribution s£curis6e de donnees et/ou services dans 
un reseau. 

Plus specifiquement, 1' invention concerne 
un proc£d<§ de distribution de donnees et/ou services 
embrouill^s a au moins un terminal maitre et & au moins 
un terminal esclave associe audit terminal maitre. 

L f invention concerne egalement un syst&me 
de distribution de donnees et/ou services embrouilles 
comport ant un module central de gestion des abonnes, un 
generateur de messages de gestion de titres d'acces 
(EMM) , une plate-forme d' erabrouillage. 

Les donnees et/ou services sont distribues 
2l au moins un terminal maitre et a au moins un terminal 
esclave munis chacun d'un processeur de securite. Les 
terminaux maitres et esclaves pouvant §tre des 
ordinateurs ou des recepteurs audiovisuels munis d'un 
decodeur. Les processeurs de securite sont des 
logiciels enregistres dans la memoire de l'ordinateur 
ou dans la memoire d'une carte a puce, 

ETAT DE IA TECHNIQUE ANTERIEURE 

Lorsqu'un abonne dispose de plusieurs 
terminaux de reception de donnees et/ou services 
embrouilles, hormis une connexion physique entre les 
differents terminaux ou 1 'utilisation de la voie de 
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retour (identification du N° de Tel appelant ou adresse 
MAC (pour Medium Access Control) ou @IP (pour Internet 
Protocol) de chaque terminal, l'op6rateur ne dispose 
pas de solution simple lui permettant de controler 
l f attribution de droits d'acc£s interd£pendants aux 
diff brents terminaux de l'abonne. 

Le but de 1' invention est de fournir aux 
operateurs un proced6 et systeme simples pour affecter 
de fagon control^e des droits d'acces interdependants 
aux diff6rents terminaux de l'abonn£. 

EXPOSE DE I/INVEKTION 

1/ invention pr^conise un proced£ de 
distribution de donnees et/ou services embrouill^s a un 
abonne muni d'un terminal maitre auquel sont associ^s 
des droits d'acces principaux et de terminaux 
additionnels esclaves, auxquels sont associ§s des 
droits d'acces subsidiaires dependant des droits 
d'acces principaux. 

Le procede selon 1' invention comporte les 
stapes suivantes : 

- transmettre au terminal maitre un premier 
code secret S M et & chaque terminal esclave un deuxieme 
code secret S s en relation biunivoque avec le premier 
code Su, 

- autoriser la reception des donnees et/ou 
services par un terminal esclave uniquement si le 
premier code secret S M est prealablement enregistr<§ 
dans ledit terminal esclave. 

Ainsi, un abonn6 peut recevoir les donnees 
et/ou services sur un terminal principal pour lequel il 
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a prealablement' acquis des droits. d'acces et tout ou 
partie de ces donn6es et/ou services sur plusieurs 
autres terminaux secondaires pour lesquels il a acquis 
un droit d'acces associe au droit principal, identique 
a celui-ci ou restreint par rapport a celui-ci et 
defini en fonction de choix commerciaux ou de crit&res 
specifiques a chaque terminal (recepteur comportant une 
limitation parentale, linguistique, etc.). 

Par exemple, l'operateur peut attribuer une 
reduction de cout a un abonne pour un deuxieme 
abonnement sous reserve que cet abonnement soit 
effectivement utilise par ce seul abonne sur son 
deuxieme terminal. De cette facon, l'operateur peut se 
primunir du detournement de cette strategie commerciale 
si 1' usage du deuxieme abonnement etait techniquement 
limite au deuxieme terminal de 1' abonne. 

Dans un mode prefere de realisation de 
1' invention, le procede selon 1' invention comporte les 
etapes suivantes : 

- definir un premier type de messages de 
gestion de titres d'acces (EMMm) pour transmettre le 
premier code secret S M au terminal maitre, et un 
deuxi4me type de messages de gestion de titres d'acces 
(EMMs) pour transmettre le deuxieme code secret S s a 
chaque terminal es clave, 

- enregistrer le premier code secret S M dans 
le terminal maitre et le deuxieme code secret S s dans 
chaque terminal esclave et a chaque utilisation d'un 
terminal esclave, 

- requerir 1' enregistrement du premier code 
secret S M dans ledit terminal esclave si ce deuxieme 
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code S s n'est pas en relation biunivoque avec le code 
secret S M enregistre dans le terminal esclave. 

Avantageusement, le proc£de selon 
1' invention comporte en outre une 6tape consistant k 
g<§nerer & frequence variable un nouveau code secret S M 
et un nouveau code S s en relation biunivoque avec le 
nouveau code S M , 

Dans ce cas, le proc6d6 comporte les etapes 

suivantes : 

- d<§finir un premier type de messages de 
gestion de titres d'acces (EMMm) pour transmettre le 
nouveau code secret S M au terminal maitre f et un 
deuxieme type de messages de gestion de titres d'acc^s 
(EMMs) pour transmettre le nouveau code secret S s k 
chaque terminal esclave, 

- enregistrer ce nouveau code secret S M dans 
le terminal maitre et le nouveau code secret S s dans 
chaque terminal esclave et, 

& chaque utilisation d'un terminal esclave, 

- si ce nouveau code secret S s n'est pas en 
relation biunivoque avec le code secret S M 
prealablement enregistr<§ dans le terminal esclave, 

- requ^rir 1' enregistrement du nouveau code 
secret S M dans ledit terminal esclave. 

Dans un mode particulier de realisation, 
chaque terminal est associ§ a une carte a puce. 

Dans une variante de realisation, cette 
carte h puce peut £tre appari6e au terminal. 

Le procede selon 1' invention est mis en 
ceuvre par un syst£me de distribution de donn^es et/ou 
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services embrouilles comportant un module central de 
gestion des abonnes, un gen£rateur de messages de 
gestion de titres d'acc^s (EMM) et une plate-forme 
d' embrouillage . 

Selon 1' invention, ce syst&me comporte en 

outre : 

- des moyens pour attribuer au terminal 
maitre un premier code secret S M , et & chaque terminal 
esclave un deuxi&me code secret S s en relation 
biunivoque avec le premier code secret S M , 

- des moyens de controle destines & 
autoriser la reception des donn^es et/ou services par 
un terminal esclave uniquement si le premier code 
secret S M est prealablement enregistr§ dans ledit 
terminal esclave. 

Dans une premiere variante de realisation, 
le systdme selon 1' invention comporte un seul terminal 
maitre et un seul terminal esclave. 

Dans une deuxieme variante, le systeme 
selon 1' invention comporte une pluralite de terminaux 
maitres, et une plurality de terminaux esclaves. 

BR&VE DESCRIPTION DES DESSINS 

D'autres caracteristiques et avantages de 
1' invention ressortiront de la description qui va 
suivre, prise a titre d'exemple non limitatif, en 
reference aux figures annexees dans lesquelles : 

- la figure 1 repr£sente un schema d'un systeme 
mettant en oeuvre le proc<§d£ selon 1' invention, 

- la figure 2 repr^sente sch<§matiquement le 
fonctionnement du systeme de la figure 1. 
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EXPOSE D&TAILLE de modes de realisation particuliers 

Afin d'illustrer le proc<§de selon 
1' invention,, la description qui suit se situe dans un 
contexte de diffusion de programmes audiovisuels 
embrouill£s £ des abonnes connectes £ un r6seau de 
television numerique. 

La figure 1 illustre schematiquement un 
premier groupe de terminaux 2, 4 d'un premier abonne et 
un deuxieme groupe de terminaux 6, 8 d'un deuxieme 
abonne connectes, via un reseau de transport 10 , £ un 
syst£me de diffusion 12. 

Ce syst£me de diffusion comporte un module 
central 14 de gestion des abonnes , un generateur de 
codes secrets 16 et un generateur de messages de 
gestion de titres d' acc£s EMM 18 destines a vehiculer 
les codes secrets generes, et une plate-forme 
d' embrouillage 20. 

Les terminaux 2, 4, 6 et 8 sont associ6s, 
voire appari£s, a une carte £ puce 22 , 24 , 26 et 28 
respectivement . 

Le generateur de codes secrets 16 comporte 
un module de calcul apte & definir un premier code 
secret S m et un deuxieme code secret Sm2, et a calculer 
un troisi£me code secret S sl en fonction du premier code 
secret S M1 et un quatri&me code secret S s2 en fonction 
du deuxieme code secret S M 2. 

Le module central 14 de gestion des abonnes 
comporte une base de donn^es contenant des informations 
sur chaque abonne. Ces informations concernent par 
exemple le nombre de terminaux declares par l'abonn£ et 
les crit^res associ6s k chaque terminal, tel que par 
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exemple les droits d'acc^s d£ja acquis ou des 
limitations relatives au type de programmes que peut 
recevoir un terminal ou encore aux plages horaires de 
reception . 

Le g£nerateur d' EMM 18 comporte un module 
logiciel apte k g^nerer des messages EMM(@22, S m ) , 
EMM<{§24, S S1 ), EMM(@26, S M2 ) et EMM(@28, S s2 ) destines a 
vehiculer les codes secrets S m/ S M2 , S S i et S s2 et les 
crit£res de reception definis par le module 14 
respectivement au terminal 2, terminal 4, terminal 6 et 
terminal 8 k travers le r6seau de transport 10. 

Les messages EMM(@22, S m ) , EMM(@24 / S S i), 
EMM(@26, Sm2) et EMM(@28, S s2 ) sont transmis de fagon 
r£pet6e aux terminaux de l'abonne. 

A reception de ces messages EMM, les codes 
secrets S M1 , S m , s S i et S s2 et les criteres de reception 
definis par le module 14 sont inscrits dans les cartes 
k puce 22, 24, 26 et 28 respectivement. Ces cartes a 
puce et ou les terminaux comportent un logiciel apte a 
distinguer les codes secrets maitres des codes secrets 
esclaves . 

Les figures 2a a 2c illustrent 
schematiquement trois situations distinctes dans 
lesquelles des programmes audiovisuels embrouilles sont 
transmis k un abonne muni d'un terminal maitre A 
associ6 k une carte k puce 30 et de trois terminaux 
esclaves B, C et D associes respectivement k des cartes 
a puce 32, 34 et 36. 

Dans le cas illustr^ par la figure 2a, les 
programmes embrouilles sont re<?us par le terminal 
maitre A ou ils sont d£sembrouill6s de fagon classique 
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au moyen d'un mot de contr61e transmis sous forme 
chiffre dans un message de contrdle de titre d'acces 
ECM (pour Entitlement Control Message) . Le message ECM 
est exploits dans le terminal A apres avoir et6 
dechiffre par une cle utilisateur prealablement 
inscrite dans la carte a puce 30. L' ECM conditionnant 
l'acces aux programmes est exploitable par le terminal 
maitre A du fait que la carte a puce qui lui est 
associee dispose d'un code secret maitre identique a 
celui qui est stocke dans le terminal maitre A. Ainsi, 
le controle des codes secrets de la carte et du 
terminal peut §tre effectue indif feremment par la carte 
ou par le terminal. 

Lorsque le contrdle est fait dans la carte, 
si les codes secrets S M et S s sont en relation 
biunivoque, celle-ci envoie un ECM 'ddchiffre 
exploitable au terminal, sinon, elle n' envoie pas un 
tel ECM au terminal. 

Par contre, si le contrdle est effectue 
dans le terminal, la carte a puce envoie un ECM 
dechiffr6 et le terminal accepte ou n'accepte pas 
d' exploiter cet ECM selon que les codes secrets S M et S s 
sont en relation biunivoque ou ne le sont pas. 

Dans le cas illustre par la figure 2a, la 
carte a puce 32 du terminal esclave B comporte un code 
secret S S i en relation biunivoque avec le code secret 
Shi prealablement enregistre (fleche 38) dans le 
terminal esclave B au moyen de la carte a puce 30. 

Les programmes embrouilles sont recus par 
le terminal esclave B ou ils sont desembrouilles de 
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fagon classique au moyen d'un mot de contrdle transmis 
sous forme chiffre dans un message de contr61e de titre 
d'acces ECM (pour Entitlement Control Message). Le 
message ECM est exploite dans le terminal B apres avoir 
ete dechiffre par une cle utilisateur prealablement 
inscrite dans la carte a puce 32. L' ECM conditionnant 
l'acces aux programmes est exploitable par le terminal 
esclave B du fait que la carte a puce qui lui est 
associee dispose d'un code secret esclave correspondant 
de maniere biunivoque au code secret maitre stocke dans 
le terminal esclave B. 

Ainsi, dans ce cas egalement, le contrdle 
des codes secrets de la carte et du terminal peut etre 
effectue indif feremment par la carte ou par le 
terminal. 



Dans le cas illustre par la figure 2b, le 
code secret S m n'a pas encore ete transfere dans le 
terminal esclave C. Les programmes embrouilles recus 
par ce terminal esclave c ne pourront pas etre 
desembrouilles car la carte a puce 34 du terminal 
esclave c comporte un code secret S S1 en relation 
biunivoque avec le code secret Sm. 

Dans le cas illustre par la figure 2c, le 
code secret maitre Sm2 transfere dans le terminal 
esclave D n'est pas compatible avec le code secret S S i 
inscrit dans la carte a puce 36. Les programmes 
embrouilles recus par le terminal maitre A ne pourront 
pas non plus etre re?us par le terminal esclave D. 

Dans les differents cas, chaque fois qu'un 
utilisateur veut utiliser un terminal esclave dont le 
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code secret maitre n'existe pas ou n'est pas compatible 
avec le code secret de la carte & puce, une annonce 
s'affiche sur un ecran pour 1'inviter k insurer la 
carte a puce associ6e au terminal maitre pour 
transferer le code secret maitre dans le terminal 
esclave. Le logiciel resident dans la carte & puce ou 
dans le terminal v£rifie la compatibility des codes 
secrets maitre et esclave et autorise 1' utilisation du 
terminal esclave si ces codes sont compatibles. 

II en resulte qu' aucun terminal esclave ne 
pourra etre utilise sans 1' autorisation du terminal 
maitre. Ceci permet d' empecher la reception frauduleuse 
de programmes embrouilles par un terminal non muni de 
droits d'accds. 
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RE VEND I CAT I ONS 

1. Proc6d6 cie distribution de donnees et/ou 
services embrouill6s a au moins un terminal maitre et £ 
au moins un terminal esclave associ£ audit terminal 

5 maitre, proc6de caract£ris6 en ce qu'il comporte les 
etapes suivantes : 

- transmettre au terminal maitre un premier 
code secret S M et au terminal esclave un deuxidane code 
secret S s en relation biunivoque avec le premier code 

10 S M , 

- autoriser la reception des donnees et/ou 
services par le terminal esclave uniquement si le 
premier code secret S M est prealablement enregistre 
dans le terminal esclave. 

15 

2. Proced£ selon la revendication 1 
caracterise en ce qu' il comporte les etapes suivantes : 

- d£finir un premier type de messages de 
gestion de titres d'acces (EMMm) pour transmettre le 
premier code secret S M au terminal maitre , et un 
deuxieme type de messages de gestion de titres d'acces 
(EMMs) pour transmettre le deuxieme code secret S s a 
chaque terminal esclave, 

- enregistrer le premier code secret S M dans 
le terminal maitre et le deuxieme code secret S s dans 
chaque terminal esclave et, 

& chaque utilisation d'un terminal esclave, 

- requ£rir 1' enregistrement du premier code 
secret S M dans ledit terminal esclave si ce deuxieme 
code S s n'est pas en relation biunivoque avec le code 
secret S M enregistr<§ dans le terminal esclave. 
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3. Procecte selon la revendication 1, 
caract£rise en ce qu' il comporte en outre une 6tape 
consistant a g^nerer a frequence variable un nouveau 

5 code secret S M et un nouveau code S s en relation 
biunivoque avec le nouveau code S M . 

4. Proced6 selon la revendication 3 
caracteris6 en ce qu'il comporte les etapes suivantes : 

10 - d6finir un premier type de messages de 

gestion de titres d'acces (EMMm) pour transmettre le 
nouveau code secret S M au terminal maitre, et un 
deuxidme type de messages de gestion de titres d'acces 
(EMMs) pour transmettre le nouveau code secret S s £ 

15 chaque terminal esclave, 

- enregistrer ce nouveau code secret S M dans 
le terminal maitre et le nouveau code secret S s dans 
chaque terminal esclave et, 

& chaque utilisation d'un terminal esclave, 
20 - si ce nouveau code secret S s n'est pas en 

relation biunivoque avec le code secret S M 
pr£alablement enregistre dans le terminal esclave, 

- requerir 1' enregistrement du nouveau code 
secret S M dans ledit terminal esclave. 

25 

5. Proced£ selon l'une des revendications 1 
a 4, caract£ris6 en ce que chaque terminal comporte un 
processeur de s^curite. 
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6. Procedd selon la revendication 5, 
caract6rise en ce que le processeur de security est une 
carte a puce associee au terminal. 

7. Proced6 selon la revendication 6, 
caracteris6 en ce que ladite carte k puce est appari^e 
audit terminal. 

8. Systeme de distribution de donnees et/ou 
services embrouill&s k au moins un terminal maitre et k 
au moins un terminal esclave, munis chacun d'un 
processeur de s£curite, ledit syst&me comportant : 

- un module central de gestion des abonn^s 

(14), 

- un generateur de messages de gestion de 
titres d'accds (EMM) (16), 

- une plate-forme d' embrouillage (18), 
systeme caract£rise en ce qu'il comporte en 

outre : 

- des moyens pour attribuer a chaque 
terminal maitre un premier code secret S M , et a chaque 
terminal esclave un deuxieme code secret S s en relation 
biunivoque avec le premier code secret S M , 

- des moyens de controle destines & 
autoriser la reception des donnees et/ou services par 
un terminal esclave uniquement si le premier code 
secret S M est prealablement memorise dans ledit 
terminal esclave. 
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9- Syst&me selon la revendication 8, 
caract£ris6 qu' il comporte un seul terminal maitre et 
un seul terminal esclave. 



10. Syst&me selon la revendication 8, 
caract£ris6 en ce qu'il comporte une pluralite de 
terminaux maitres, et une plurality de terminaux 
esclaves . 
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